萬泰集團2019新網頁成立,歡迎前往!!

dolphin_scm

前往新網頁

dolphin_warehouse

前往萬泰倉儲網頁

 
SCM 萬 泰 新 網 頁←web
萬 泰 倉 儲 新 網 頁←web

萬泰物流供應鏈股份有限公司

資訊安全組織管理程序

1. 目的

為促使本公司有效推動與管理資訊安全作業,以確保系統能持續有效地執行,維護員工及客戶權益,以提升本公司服務水準並且達成既定的資訊安全目標,特制訂本作業程序。

2. 範圍

凡本公司與資訊安全組織架構及相關之權責的管理,均適用本作業程序。

3. 權責

3.1. 董事長室

本辦法文件之審查與核准。

3.2. 資訊部

3.2.1.本辦法文件發行之審查與核准。
3.2.2.文件之製作、審查、發行、修訂、更新及保管。
3.2.3.本辦法製作與協調各部門落實實施相關措施、要求。

4. 定義

無。

5. 作業程序

5.1. 資安管理委員會組成

5.1.1. 本公司資安管理委員會之委員為董事長、總經理及副總經理,主任委員由董事長擔任。
5.1.2. 資安管理委員會下轄資安小組,負責推動本公司ISMS相關程序、計畫或活動,資安小組需定期將ISMS推動績效,向資安管理委員會報告,並取得必要資源,資安小組配置如下:

5.1.2.1. 資安長:由本公司董事長擔任。
5.1.2.2. 資安管理代表:由資訊部主管擔任ISO 27001資安管理代表。
5.1.2.3. 資安小組推動成員:分成文管小組與稽核小組,由資安長指定單位代表擔任,協助各項資安活動之進行。

5.2. 資安管理委員會權責與授權

5.2.1. 推動組織圖

5.2.2. 權責如下:

5.2.3. 資安政策與目標訂定

5.2.3.1. 資安管理委員會應審查本公司資安政策,並由相關單位加以量化為資安績效指標,經董事長核准後於網路系統或內部公佈欄中加以公告,並定期審核其達成狀況。
5.2.3.2. 本公司執行資安系統需達成之資訊安全目標,依據「資訊安全目標設定表」之相關規定辦理,當資安目標未達成時,應實施檢討並記錄於「資訊安全目標檢討表」,資安目標應提繳至管理審查會議進行討論。(附件6.1、6.2)

5.2.4. 資安管理委員會賦予資安小組審核各項職位之資安權責。
5.2.5. 資安管理委員會賦予資安小組審核資安手冊、適用性聲明書與各管理程序書之訂、修、廢內容。
5.2.6. 各部門依據各自職掌與職務需求訂定資安權責、權限,如有問題可諮詢「資安小組」。
5.2.7. 「資安小組」成員在承辦各項資安業務時,應依照各項職位之權責或各管理程序書之權責規定辦理。
5.2.8. 「資安小組」遇有權責之爭議無法協調,或牽涉到資訊安全組織需進行大變動時,應提交相關議題至「資安管理委員會」進行討論。
5.2.9. 資安管理委員會與資安小組之組織圖規範於本程序書,不另行公告。

5.3. 資安小組權責

5.3.1. 資安長權責

5.3.1.1. 向資安管理委員會報告資訊安全管理系統推動成果。
5.3.1.2. 依據所提供之資源推動並維護資訊安全政策有效性。
5.3.1.3. 審核資訊安全風險評鑑的結果。
5.3.1.4. 參與資安管理審查會議,審核相關執行成果。

5.3.2. 資安管理代表權責

5.3.2.1. 界定與檢討資訊安全管理系統之範圍與控制措施。
5.3.2.2. 向資安長報告資安目標、資安系統程序書與規範之推動成果。
5.3.2.3. 依據所獲資源推動並維護資訊安全政策、目標、程序、規範之有效性。
5.3.2.4. 確認資訊安全風險評鑑的時機及審核評鑑報告;並展開相關措施。
5.3.2.5. 定期舉辦與追蹤管理審查會議、內部稽核會議、法規符合性或各項資訊安全會議所需的後續工作。
5.3.2.6. 負責指揮資訊室人員落實推動資訊安全作業制度。
5.3.2.7. 監督與改善營運持續演練的相關運作。
5.3.2.8. 實施與追蹤各項矯正預防措施之運作。
5.3.2.9. 作為本公司對外部的資訊安全溝通窗口。
5.3.2.10. 其他資訊安全管理相關事宜之推動。

5.3.3. 資安管理代表應組成「資安小組人員名冊」(附件6.3)以有效推動相關資安管控措施。
5.3.4. 資安小組組織功能如下說明:

5.3.4.1. 資安小組工作職掌

5.3.4.1.1. 參與制定資訊安全政策、資訊安全目標與各項作業程序。
5.3.4.1.2. 各項資訊安全管理文件與記錄之建立與管制。
5.3.4.1.3. 建立與維護業務持續營運計畫。
5.3.4.1.4. 擬定資訊安全教育訓練計畫及辦理資訊安全相關講座活動。
5.3.4.1.5. 制定風險管理制度,執行風險管理作業。
5.3.4.1.6. 持續不斷評估與檢討風險管理之具體成效。
5.3.4.1.7. 建立資安事件緊急應變暨復原措施。
5.3.4.1.8. 監控、記錄與調查資訊安全事件。
5.3.4.1.9. 受理資訊安全事件回報與事件處理。
5.3.4.1.10. 執行管理審查會議決議之事項。
5.3.4.1.11. 執行稽核改善建議事項,並追蹤缺失事項之執行情形。
5.3.4.1.12. 執行矯正與預防措施之改善。

5.3.4.2. 資訊安全稽核小組職掌

5.3.4.2.1. 資安稽核小組成員應接受內部稽核人員之三小時訓練講座,以獲得應具備之能力,參與內部資安稽核作業。
5.3.4.2.2. 負責訂定相關之「資安稽核計畫表」,每年應至少實施一次內部稽核並將結果記錄於「資安稽核記錄表」。(附件6.4、6.5)
5.3.4.2.3. 依據「資安稽核記錄表」審視檢核資通安全業務是否落實,當發現不符合事項時,撰寫內部稽核之「資安稽核缺失改善表」,追蹤稽核發現之不符合事項與其矯正措施之有效性。(附件6.6)
5.3.4.2.4. 將稽核成果提交管理審查會議,評估與檢討資訊安全內部稽核成效。
5.3.4.2.5. 必要時,協助第三方進行外部稽核作業。

5.3.4.3. 資訊安全文件管制小組職掌

5.3.4.3.1. 文件發行、回收與銷毀。
5.3.4.3.2. 發行文件之版本管理。
5.3.4.3.3. 紙本文件之保管、借閱。
5.3.4.3.4. 發行文件電子檔之保管。
5.3.4.3.5. 發行文件電子文件公告及更新管理。

5.3.5. 資安顧問

5.3.5.1. 必要時,遴選資安技術領域相關專家、顧問指導與諮詢,確保本公司於運作資訊安全作業時,有外部資源可協助與推動。
5.3.5.2. 資安小組可事先將潛在利害相關者,例如客戶、供應商、資安專家或顧問的聯繫資料彙整於「外部聯絡單位清單」中列管,以確保於發生資訊安全事件時能快速聯繫外單位獲得支援。(附件6.7)
5.3.5.3. 資訊安全管理審查會議應與外部資訊專家或顧問加強協調聯繫,以建立相互合作管道,評估本公司面臨資訊安全威脅之處理措施。
5.3.5.4. 與業務上有密切關係之行政院國家資通安全會報等連結及通信機關,建立及維持適當互動管道,以利發生資訊安全危機時,可獲得外部支援解決問題。

5.4. 組織全景鑑別

5.4.1. 資安小組應依資安管理委員會公佈之使命、核心價值、遠景及目標、核心業務流程及重要工作項目等,彙整相關資訊於「組織全景評鑑表」,以利鑑別核心業務。
5.4.2. 鑑別利害相關者需求:完成核心業務流程鑑別後,資安小組應鑑別與本公司核心業務流程相關之內部及外部之利害相關者,並將利害相關者需求記載於「組織全景評鑑表」。(附件6.8)
5.4.3. 鑑別需求與期待:鑑別與本公司核心業務相關之利害相關者後,資安小組應綜整本公司營運目標,以鑑別本公司內部及外部利害相關者對本公司各項業務需求與期待,並記載於「組織全景評鑑表」。
5.4.4. 針對「組織全景評鑑表」中所鑑別出利害相關者的每一項需求與期待,無論其是否納入資安系統實施範圍,應確定未符合利害相關者的需求與期待時,可能造成的潛在威脅影響;以及該影響可能對組織造成之衝擊程度。
5.4.5. 適用性檢討
資安小組在承辦各項業務時,可隨時進行組織與權責適用性之檢討,若有訂修廢之需求時,依照上述之訂修廢規定辦理,同時將適用與不適用之原因更新於「適用性聲明書」之中。

5.5. 管理審查會議運作方式

5.5.1. 管理審查會議召開。

5.5.1.1. 每年至少召開管理審查會議一次,由資安長召集主持,以確保資訊安全作業的適用性和有效性,同時評估改進資訊安全作業。
5.5.1.2. 如遇特殊或重大資訊安全事件時得召開臨時會議,討論及決議資訊安全相關事宜,以因應緊急事故。

5.5.2. 管理審查的重點

5.5.2.1. 鑑別風險、可接受風險與其管制措施;以及殘餘風險。
5.5.2.2. 發現相關程序和控制措施的缺失與優化機會,以評估資訊安全作業執行的有效性。
5.5.2.3. 反應業務優先順序的資訊安全活動,並確認其資安活動實施成效是否符合期望。
5.5.2.4. 鑑別與有效管控資訊安全事件。

5.5.3. 管理審查會議內容

5.5.3.1. 先前管理審查決議事項之跟催狀況。
5.5.3.2. 有關可能影響資訊安全作業的外部與內部問題之變更。
5.5.3.3. 資訊安全的績效回饋,包含下列趨向:

5.5.3.3.1. 不符合事項與矯正措施之執行狀況。
5.5.3.3.2. 監督與量測結果。
5.5.3.3.3. 內部稽核的結果。
5.5.3.3.4. 資訊安全目標的實現。

5.5.3.4. 利害相關團體的回饋。
5.5.3.5. 風險評鑑的結果與風險處理計畫的狀態。
5.5.3.6. 持續改進的機會。

5.5.4. 資安管理審查會議紀錄

5.5.4.1. 資訊安全作業有效性之改進。
5.5.4.2. 風險評鑑與風險處理計畫之更新。
5.5.4.3. 影響資訊安全之辦法與控制之必要時的修改,以回應可能衝擊資訊安全作業之內部或外部事件,包括下列事項之變更:

5.5.4.3.1. 各項營運要求。
5.5.4.3.2. 各項安全要求。
5.5.4.3.3. 影響既有各項營運要求之營運過程。
5.5.4.3.4. 法律或法規各項要求。
5.5.4.3.5. 契約的各項義務。

5.5.4.4. 資訊安全作業有效性之改進。
5.5.4.5. 風險評鑑與風險處理計畫之更新。
5.5.4.6. 資源需求。

5.5.5. 會議決議事項可納入下次內部稽核作業之稽核要項,或由會議中指定專人進行跟催與複查,以確保各項決議事項被有效執行。

6. 附件

6.1. 資訊安全目標設定表(ISP-01-01)
6.2. 資訊安全目標檢討表(ISP-01-02)
6.3. 資安小組人員名冊(ISP-01-03)
6.4. 資安稽核計劃表(ISP-01-04)
6.5. 資安稽核記錄表(ISP-01-05)
6.6. 資安稽核缺失改善表(ISP-01-06)
6.7. 外部聯絡單位清單(ISP-01-07)
6.8. 組織全景評鑑表(ISP-01-08)
6.9. 資安管理審查會議記錄(ISP-01-09)